Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware HttpTroy-achterdeur

HttpTroy-achterdeur

Tegen Mezo in Malware, Achterdeurtjes
Vertalen naar:

Een aan Noord-Korea gelinkte actor, gevolgd als Kimsuky, is geobserveerd terwijl hij een nog niet eerder geziene backdoor, gevolgd als 'HttpTroy', tegen één doelwit in Zuid-Korea installeerde. De onthulling bevatte geen tijdlijn, maar onderzoekers melden dat de inbraak begon met een zorgvuldig samengesteld phishingpakket dat zich voordeed als een VPN-factuur om het slachtoffer ertoe te verleiden het kwaadaardige archief te openen.

Levering en eerste uitvoering

De infectie begon met een ZIP-bestand dat zich voordeed als een factuur voor VPN-apparatuur. Daarin bevond zich een Windows SCR-bestand dat, na uitvoering, een geautomatiseerde uitvoeringsketen in drie fasen startte. De eerste fase is een kleine dropper, geïmplementeerd als een Golang-bestand. Die dropper bevat drie ingebouwde bronnen, waarvan er één een onschuldige PDF is die aan de gebruiker wordt getoond als afleiding, zodat de kwaadaardige activiteit onopgemerkt op de achtergrond wordt uitgevoerd.

De uitvoeringsketen

  • Kleine Golang-dropper (bevat ingebedde decoy-PDF en andere payloads)
  • Ladercomponent genaamd MemLoad
  • Laatste DLL-backdoor genaamd HttpTroy

Persistentie en ladergedrag

De loader, MemLoad, draait gelijktijdig met de dropper en verzorgt de persistentie en de implementatie van de payload. Hij maakt een geplande taak aan met de naam 'AhnlabUpdate' – een duidelijke poging om AhnLab na te bootsen om argwaan te verminderen – en gebruikt die taak om ervoor te zorgen dat de backdoor continu wordt geladen. MemLoad is ook verantwoordelijk voor het decoderen en injecteren van de DLL-backdoor in de hostprocesruimte voor uitvoering.

Mogelijkheden geboden door de Backdoor

  • Willekeurige bestanden uploaden en downloaden van/naar de host van het slachtoffer
  • Maak screenshots van het bureaublad
  • Voer opdrachten uit met verhoogde privileges en spawn reverse shells
  • Uitvoerbare bestanden rechtstreeks in het geheugen laden en uitvoeren (bestandsloze uitvoering)
  • Processen beëindigen en sporen van activiteit verwijderen

Command-and-Control en netwerkgedrag

HttpTroy communiceert met zijn controller via HTTP door POST-verzoeken te sturen naar een C2-domein met de naam load.auraria.org. Door HTTP POST te gebruiken, mengt netwerkverkeer zich met normaal webverkeer, tenzij dit specifiek is geprofileerd.

Anti-analyse en verduisteringstechnieken

Het implantaat gebruikt verschillende gelaagde verduisteringsmaatregelen om statische analyse en handtekeningdetectie te frustreren. In plaats van API-namen en strings hard te coderen, verbergt het API-aanroepen via aangepaste hashroutines en verbergt het tekstuele artefacten met XOR- en SIMD-achtige manipulaties. Belangrijk is dat het niet dezelfde gehashte waarden of stringcoderingen hergebruikt: de malware reconstrueert de vereiste API-hashes en strings on-the-fly met behulp van verschillende rekenkundige en logische bewerkingen, wat de kosten van reverse engineering en het aanmaken van handtekeningen verhoogt.

Attributie en context

Gedragsindicatoren en targeting wijzen erop dat de activiteit verband houdt met Kimsuky. De aanval lijkt een gerichte spearfishingaanval te zijn, gericht op een Zuid-Koreaanse ontvanger. De exacte timing van het incident is door de onderzoekers niet bekendgemaakt.

Conclusie

Om potentiële infecties met HttpTroy te detecteren en te beperken, moeten organisaties hun systemen nauwlettend in de gaten houden op verdachte geplande taken, met name taken die zich voordoen als legitieme updates van leveranciers. Netwerkbeveiliging moet zo worden geconfigureerd dat HTTP POST-communicatie gericht op onbekende of ongebruikelijke externe domeinen wordt geïdentificeerd en gemarkeerd, zodat verzonden gegevens indien mogelijk grondiger kunnen worden geïnspecteerd.

Beveiligingsteams wordt ook geadviseerd om de uitvoering van onverwachte SCR-bestanden en niet-herkende Golang-binaries op verschillende eindpunten te beperken of te blokkeren. Bovendien kan de implementatie van robuuste endpointbeveiligingsoplossingen die in-memory code-uitvoering kunnen identificeren en afwijkende procesinjectieactiviteit kunnen detecteren, het risico op inbreuk aanzienlijk verminderen.

Trending

Meest bekeken

Bezig met laden...